Amvo.exe czy win32/PSW.OnLineGames.NMY


(Wyst Rysz) #1

Witam, proszę o pomoc w usunięciu robaków, które zostały zidentyfikowane przez :

Prevx CSI- jako amvo.exe, przez NOD32- jako win32/PSW.OnLineGames.NMP. Jest ich kilka ciągle się pojawiają a Nod nieustannie wrzuca je do kwarantanny.

Oto log z Combo Fix: http://wklejto.pl/5238.

Proszę o poradę.


(Kambor4) #2

Wklej do notatnika:

File::

C:\hgu.bat

C:\autorun.inf

C:\[u]0[/u]0hoeav.com

C:\qxbx9blb.com

F:\qxbx9blb.com

D:\qxbx9blb.com


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{79326c9f-4cb3-11dd-aeaf-0017a4e356b3}]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

02f8f1e3c410a4cc.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.


(Leon$) #3

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S ... Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s ... ntry369724

lub format

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Wyst Rysz) #4

Usunąłem z C:\Quoobox

Oto log powstały po działaniu Combo Fixhttp://wklejto.pl/5264

Czy teraz sprawdzić peny?


(Leon$) #5

powtórz jeszcze raz z moim plikiem

:slight_smile:


(huber2t) #6

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\00hoeav.com

C:\WINDOWS\system32\ckvo0.dll

C:\WINDOWS\system32\ckvo.exe


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"kamsoft"=-

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link


(Wyst Rysz) #7

Leon$ - oto log http://wklejto.pl/5268, czy to już koniec z robakami?


(Leon$) #8

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Wyst Rysz) #9

Dzięki, Huber2t, wykonałem oto log: http://wklejto.pl/5272, jednak PrevxCSI nadal pokazuje infekcje...

W dniu 08.07.2008 , o godzinie 22:37 został dopisany post przez Rico66

Leon$, oto log po działaniu Combofix: http://wklejto.pl/5275, czy jeszcze coś można z tym zrobić bo

ciągle mam komunikaty o robakach w Prevx CSI???


(huber2t) #10

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!